ClamAV Açık Kaynaklı Antivirüs Yazılımında, Kullanıcıları Öngörülemeyen Güvenlik Risklerine Maruz Bırakan Önemli Bir Uzaktan Kod Yürütme Güvenlik Açığı Bulundu.

Cisco, açık kaynaklı antivirüs motoru ClamAV'de ortaya çıkan ciddi bir ihlalden müşterilerini korumak için adımlar attı. CVE-2023-20032 (CVSS puanı: 9.8) olarak adlandırılan bu güvenlik açığı, kötü niyetli aktörlerin HFS+ dosya ayrıştırıcı bileşenindeki bir sorundan yararlanarak savunmasız cihazlarda rasgele kod yürütmesine olanak sağlayabilir.

1.0.0 ve önceki sürümlerde, 0.105.1 ve önceki sürümlerin yanı sıra 0.103.7 veya önceki sürümlerde bu güvenlik sorunu Google Güvenlik Mühendisliği Simon Scannell tarafından ortaya çıkarıldı - gelişmekte olan dünyada zaten gerektiği gibi not edilmiş bir keşif! Cisco Talos bir danışma belgesinde "Bu güvenlik açığı, yığın arabellek taşması yazmaya neden olabilecek eksik bir arabellek boyutu denetiminden kaynaklanmaktadır." açıkladı. "Bir saldırgan, etkilenen bir cihazda ClamAV tarafından taranmak üzere hazırlanmış bir HFS+ bölümleme dosyası göndererek bu güvenlik açığından yararlanabilir."

Bu güvenlik açığından yararlanan bir saldırgan, ClamAV tarama işlemiyle aynı ayrıcalıklara sahip tam sistem kontrolü elde edebilir veya hatta onu çökerterek sizi bir hizmet reddi (DoS) saldırısına açık bırakabilir.

Ağ ekipmanına göre, bu ürünler potansiyel tehditlere açıktır ve açıktır:

• Güvenli Uç Nokta, önceden Uç Noktalar için Gelişmiş Kötü Amaçlı Yazılım Koruması (AMP) (Windows, macOS ve Linux)
• Güvenli Uç Nokta Özel Bulutu ve
• Secure Web Appliance, eski adıyla Web Security Appliance

Bu ayrıca, güvenlik açığının Secure Email Gateway (önceden Email Security Appliance olarak biliniyordu) ve Secure Email and Web Manager (başlangıçta Security Management Appliance olarak adlandırılıyordu) ürünlerini etkilemediğini ortaya koydu.

Cisco kısa bir süre önce, kimliği doğrulanmamış bir yabancı tarafından yararlanılabilecek, ClamAV'ın DMG dosya ayrıştırıcısında bulunan bir uzaktan bilgi sızıntısı güvenlik açığı (CVE-2023-20052, CVSS puanı: 5.3) için bir yama yayınladı. Cisco, "Bu güvenlik açığı, XML harici varlık enjeksiyonuyla sonuçlanabilecek XML varlık değişiminin etkinleştirilmesinden kaynaklanmaktadır" dedi. "Bir saldırgan, etkilenen bir cihazda ClamAV tarafından taranmak üzere hazırlanmış bir DMG dosyası göndererek bu güvenlik açığından yararlanabilir."

CVE-2023-20052'nin Cisco Secure Web Appliance üzerinde bir etkisinin olmaması dikkat çekicidir. Bununla birlikte, ClamAV 0.103.8, 0.105.2 ve 1.0.1 sürümlerinde tüm güvenlik açıkları giderildi. Buna ek olarak Cisco, Nexus Dashboard'u (CVE-2023-20014 with CVSS) etkileyen bir Hizmet Reddi (DoS) güvenlik açığını da çözdü. puan: 7)